Skip to content

Kryptodebatte? Hatten wir doch schon!

Da die Überwachungsfanatiker mal wieder nach Hintertüren in Verschlüsselungen schreien, sei an den folgenden Artikel des leider viel zu früh verstorbenen Andreas Pfitzmann anlässlich der ersten Krypo-Debatte erinnert:

Andreas Pfitzmann:
Wie es zum Schlüsselhinterlegungs- und Aufbewahrungs-Gesetz (SchlAG) kam;
PIK, Praxis der Informationsverarbeitung und Kommunikation, 18/4 (1995) 246.

Zu finden im Archiv der SIRENE-Gruppe (in dem es auch noch einige weitere Texte zur ersten Krypo-Debatte gibt) als Pfit10_95SchlAG.ps.gz.

Weiterlesen...

Microsofts erster Patchday 2015 bringt den ersten 0-Day-Exploit

Am ersten Patchday des Jahres 2015 hat Microsoft auch schon die erste für Angriffe genutzte Schwachstelle gemeldet: Ein lokal ausnutzbare Privilegieneskalation. Und zwei weitere 0-Day-Schwachstellen der gleichen Kategorie behoben. Und das sind nicht die einzigen 0-Day-Schwachstellen im noch so neuen Jahr 2015: Auch in mehreren Corel-Programmen wurden 0-Day-Schwachstellen gemeldet.

Schwachstelle und Proof-of-Concepts veröffentlicht, aber keine Angriffe

Weiterlesen...

2014 - Das Jahr, in dem die Schwachstellen Namen bekamen

2014 wird als das Jahr in die Geschichte eingehen, in dem die Schwachstellen Namen bekamen. Vorher gab es bereits Namen für Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr wirklich durchgesetzt. Die Schwachstelle von Welt kommt heute nicht mehr ohne Namen aus. Jedenfalls nicht, wenn sie ernst genommen werden will.

Kennen Sie den Unterschied zwischen CVE-2014-6271 und Shellshock? Nicht? Dabei gibt es einen ganz gewaltigen: CVE-2014-6271 hätte es nie in die allgemeinen Medien geschafft, Shellshock ist das dagegen mit Leichtigkeit gelungen. Dabei ist es ein und dieselbe Schwachstelle. Werbung ist eben alles. Im Jahr 2014 auch für Schwachstellen.

Aber fangen wir vorne an. Die erste "berühmte" Schwachstelle war der im April vorgestellte Heartbleed-Bug in OpenSSL. Aber schon davor gab es Schwachstellen mit Namen. Jedenfalls irgendwie:

21. Februar - Apples "GOTO FAIL"-Schwachstelle

Weiterlesen...

Vor Weihnachten ist noch einiges zu tun...

Es ist bald Weihnachten, und bis dahin ist noch einiges zu tun. Und damit meine ich nicht die üblichen Aufgaben wie "Im letzten Moment die Geschenke kaufen" und "Am 23.12. Lebensmittelvorräte für die nächsten 4 Wochen einkaufen, weil die Geschäfte ja 2 Tage zu sind", sondern einige Aufgaben rund um die IT (die natürlich auch außerhalb der Weihnachtszeit nicht vergessen werden dürfen, aber im allgemeinen Trubel gehen sie jetzt schnell unter):

1. Sind alle Passwörter sicher?

Weiterlesen...

Die aktuelle 0-Day-Schwachstelle im IE - kein Grund zur Panik!

Oh Schreck, es gibt eine 0-Day-Schwachstelle im IE. Panik!1!ELF

Das ist alles total übertrieben. Wieso? Weil es "nur" eine 0-Day-Schwachstelle ist, es gibt bisher keinen Exploit dafür. Also: Kein Grund zur Panik. Denn wenn Sie wegen der einen Schwachstelle schon in Panik ausbrechen, was machen Sie denn dann wegen der womöglich zig hundert noch gar nicht entdeckten Schwachstellen? Die könnten jederzeit entdeckt werden, und je nachdem ob der Entdecker Sicherheitsforscher oder Cyberkrimineller ist wird sie dann an Microsoft gemeldet oder mit einem 0-Day-Exploit ausgenutzt. Also: Es gibt wirklich keinen Grund zur Panik!

Die Details zur aktuellen Schwachstelle ...

Weiterlesen...